VirusScan Enterprise 8.8 で事前に定義されているアクセス保護ルール AVO11 と同等のファイアウォール ルー ルを Endpoint Security ファイアウォール 10.1 で作成するには、このタスクを実行します。
ファイアウォールルールの作成方法については、Endpoint Security ファイアウォールのヘルプを参照してください。
ルール AVO10: 大量メール配信型ワームによるメール送信を禁止する
Rule AVO11 G_030_AntiVirusOn { Description "Prevent IRC communication" Process { Include * } Port IOTU { Include 6666 6669 } }
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択して、[製品] リストから
[Endpoint Security ファイアウォール]を選択します。
2 [カテゴリ] リストから [ルール] を選択します。
3 割り当て済みのファイアウォール ルール ポリシーの名前をクリックします。
4 [ルールの追加] をクリックし、次の設定を行います。
• [アクション] [ブロック] • [トランスポート プロトコル:] [TCP]
• [方向] [いずれか] • [ローカル ポート:] 6666-6669
• [ネットワーク プロトコル:] [すべてのプロト コル]
• [リモート ポート:] 6666-6669
5 [保存] をクリックします。
このルールは、管理対象システムのすべての Endpoint Security 10.1 に作成され、割り当て先のシステムで有効に なります。
VirusScan Enterprise 8.8 では、AVO11 ルールがデフォルトで無効になっているため、IRC トラフィックが許可さ れました。 Endpoint Security で VirusScan Enterprise のデフォルトの動作を有効にするには、ブロック ルールの アクションを[許可]に変更します。
FTP 通信の禁止ルールを作成する
VirusScan Enterprise 8.8 で事前に定義されているアクセス保護ルール CW05 と同等のファイアウォール ルール を Endpoint Security ファイアウォール 10.1 で作成するには、このタスクを実行します。
ファイアウォール ルールの作成方法については、Endpoint Security ファイアウォールのヘルプを参照してください。
ルール CW05: FTP 通信を禁止する
Rule CW05 G_070_CommonOff { Description "Prevent FTP communication" Enforce 0 Report 0 Process { Include * Exclude ${DefaultBrowser} explorer.exe iexplore.exe firefox.exe
事前定義のアクセス保護ポートブロックルールに代わるファイアウォールルールの作成
IRC 通信の禁止ルールを作成する
B
fnrb32.exe "f-secure automa*" sucer.exe ahnun000.tmp supdate.exe autoup.exe pskmssvc.exe pavagent.exe dstest.exe paddsupd.exe pavsrv50.exe avtask.exe giantantispywa* boxinfo.exe Exclude pasys* google* Exclude alg.exe ftp.exe agentnt.exe } Port OTU { Include 20 21 } }
VirusScan Enterprise 8.8 ルールと同等の機能を実行するには、2 つのファイアウォール ルールを作成する必要が
あります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択して、[製品] リストから
[Endpoint Security ファイアウォール]を選択します。
2 [カテゴリ] リストから [ルール] を選択します。
3 割り当て済みのファイアウォール ルール ポリシーの名前をクリックします。
4 [ルールの追加] をクリックし、次の設定を行います。
このルールを有効にするには、リモート ポート 20 または 21 の TCP 送信トラフィックをブロックまたは許可す るすべてのルールの上にこのルールを配置する必要があります。
• [アクション:] [許可]
• [方向:] [送信]
• [ネットワーク プロトコル:] [すべてのプロトコル]
• [トランスポート プロトコル:] [TCP]
• [リモート ポート:] 20、21
• [アプリケーション:] 上の VirusScan Enterprise ルールの除外対象に設定されている実行ファイルのファ イル名またはパス*を追加します。**
* 変数名 ${DefaultEmailClient}、${DefaultBrowser}、${epotomcatdir}、${epoapachedir} は、
Endpoint Security ファイアウォール 10.1 で使用できません。 これらの実行ファイルを追加する場合に は、実行ファイルに関連付けられているデフォルトのメール クライアント、デフォルトのブラウザー、McAfee ePO Tomcat のインストール ディレクトリ (\bin\ の前まで)、McAfee ePO Apache のインストール ディ レクトリ (\bin\ の前まで) を追加する必要があります。
** 二重の円記号ではなく、単一の円記号を使用してください。
5 [保存] をクリックします。
6 [ルールの追加] をクリックして、手順 4 で作成したルールのすぐ下にある 2 番目のルールを設定します。
• [アクション] [ブロック] • [トランスポート プロトコル:] [TCP]
• [方向:] [送信] • [リモート ポート:] 20、21
• [ネットワーク プロトコル:] [すべてのプロト コル]
7 [保存] をクリックします。
B
事前定義のアクセス保護ポートブロックルールに代わるファイアウォールルールの作成 FTP 通信の禁止ルールを作成するこのルールは、管理対象システムのすべての Endpoint Security 10.1 に作成され、割り当て先のシステムで有効に なります。
VirusScan Enterprise 8.8 では、CW05 ルールがデフォルトで無効になっているため、FTP トラフィックが許可さ れました。 Endpoint Security で VirusScan Enterprise のデフォルトの動作を有効にするには、ブロック ルールの アクションを[許可]に変更します。
HTTP 通信の禁止ルールを作成する
VirusScan Enterprise 8.8 で事前に定義されているアクセス保護ルール CW06 と同等のファイアウォール ルール を Endpoint Security ファイアウォール 10.1 で作成します。
ファイアウォール ルールの作成方法については、Endpoint Security ファイアウォールのヘルプを参照してください。
ルール CW06: HTTP 通信を禁止する
Rule CW06 G_070_CommonOff { Description "Prevent HTTP communication" Enforce 0 Report 0 Process { Include * Exclude ${DefaultBrowser} ${DefaultEmailClient} explorer.exe
iexplore.exe firefox.exe mozilla.exe netscp.exe opera.exe msn6.exe ${epotomcatdir}\\bin\
\tomcat.exe ${epotomcatdir}\\bin\\tomcat5.exe ${epotomcatdir}\\bin\\tomcat5w.exe $
{epotomcatdir}\\bin\\tomcat7.exe inetinfo.exe amgrsrvc.exe ${epoapachedir}\\bin\\apache.exe webproxy.exe msexcimc.exe mcscript* frameworks* naprdmgr.exe naprdmgr64.exe frminst.exe naimserv.exe framepkg.exe narepl32.exe updaterui.exe cmdagent.exe cleanup.exe mctray.exe udaterui.exe framepkg_upd.exe mue_inuse.exe setlicense.exe mcscancheck.exe eudora.exe msimn.exe msn6.exe msnmsgr.exe neo20.exe nlnotes.exe outlook.exe pine.exe poco.exe thebat.exe thunde*.exe winpm-32.exe MAPISP32.exe VMIMB.EXE RESRCMON.EXE Owstimer.exe SPSNotific* WinMail.exe msiexec.exe msi*.tmp setup.exe ikernel.exe setup*.exe ?setup.exe ??
setup.exe ???setup.exe _ins*._mp McAfeeHIP_Clie* InsFireTdi.exe update.exe uninstall.exe SAEuninstall.exe SAEDisable.exe Setup_SAE.exe Exclude lucoms* luupdate.exe lsetup.exe idsinst.exe sevinst.exe nv11esd.exe tsc.exe v3cfgu.exe ofcservice.exe earthagent.exe tmlisten.exe inodist.exe ilaunchr.exe ii_nt86.exe iv_nt86.exe cfgeng.exe f-secu* fspex.exe getdbhtp.exe fnrb32.exe "f-secure automa*" sucer.exe ahnun000.tmp supdate.exe autoup.exe pskmssvc.exe pavagent.exe dstest.exe paddsupd.exe pavsrv50.exe avtask.exe giantantispywa*
boxinfo.exe Exclude alg.exe mobsync.exe waol.exe agentnt.exe svchost.exe runscheduled.exe pasys* google* backweb-* Exclude vmnat.exe devenv.exe windbg.exe jucheck.exe realplay.exe acrord32.exe acrobat.exe Exclude wfica32.exe mmc.exe mshta.exe dwwin.exe wmplayer.exe console.exe wuauclt.exe Exclude javaw.exe ccmexec.exe ntaskldr.exe winamp.exe realplay.exe quicktimeplaye* SiteAdv.exe McSACore.exe } Port OTU { Include 80 Include 443 } }
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択して、[製品] リストから
[Endpoint Security ファイアウォール]を選択します。
2 [カテゴリ] リストから [ルール] を選択します。
3 割り当て済みのファイアウォール ルール ポリシーの名前をクリックします。
4 [ルールの追加] をクリックし、次の設定を行います。
このルールを有効にするには、リモート ポート 80 または 443 の TCP 送信トラフィックをブロックまたは許可 するすべてのルールの上にこのルールを配置する必要があります。
事前定義のアクセス保護ポートブロックルールに代わるファイアウォールルールの作成
HTTP 通信の禁止ルールを作成する
B
• [トランスポート プロトコル:] [TCP]
• [リモート ポート:] 80、443
• [アプリケーション:] CW06 ルールの除外対象に設定されている実行ファイルのファイル名またはパス*を追 加します。**
* 変数名 ${DefaultEmailClient}、${DefaultBrowser}、${epotomcatdir}、${epoapachedir} は、
Endpoint Security ファイアウォール 10.1 で使用できません。 これらの実行ファイルを追加する場合に は、実行ファイルに関連付けられているデフォルトのメール クライアント、デフォルトのブラウザー、McAfee ePO Tomcat のインストール ディレクトリ (\bin\ の前まで)、McAfee ePO Apache のインストール ディ レクトリ (\bin\ の前まで) を追加する必要があります。
** 二重の円記号ではなく、単一の円記号を使用してください。
5 [保存] をクリックします。
6 [ルールの追加] をクリックして、手順 4 で作成したルールのすぐ下にある 2 番目のルールを設定します。
• [アクション] [ブロック] • [トランスポート プロトコル:] [TCP]
• [方向:] [送信] • [リモート ポート:] 80、443
• [ネットワーク プロトコル:] [すべてのプロト コル]
7 [保存] をクリックします。
このルールは、管理対象システムのすべての Endpoint Security 10.1 に作成され、割り当て先のシステムで有効に なります。
VirusScan Enterprise 8.8 では、CW06 ルールがデフォルトで無効になっているため、HTTP トラフィックが許可さ れました。 Endpoint Security で VirusScan Enterprise のデフォルトの動作を有効にするには、ブロック ルールの アクションを[許可]に変更します。
B
事前定義のアクセス保護ポートブロックルールに代わるファイアウォールルールの作成HTTP 通信の禁止ルールを作成する
C 移行された設定の変更
この情報は、Endpoint Security 10.1 への移行後にレガシー製品のポリシーとタスクの設定を検索する場合に使用 してください。
目次
VirusScan Enterprise 設定の変更 ファイアウォール設定の変更 SiteAdvisor Enterprise 設定の変更
VirusScan Enterprise 設定の変更
VirusScan Enterprise 8.8 から 脅威対策に移行するときに、一部のポリシーの削除、移動、名前の変更、他の設定 との統合が行われます。
削除される設定
次のVirusScan Enterprise の設定は移行されません。
アクセス保護ポリシー - ルール
• ユーザー定義と事前定義のポート ブロック ルール。事前定義ルールの場合には、ユーザーが定義した追加対象と 除外対象も含まれます。
• コンテンツの更新で追加されるルール
• スパイウェア対策の標準保護: Internet Explorer のお気に入りと設定を保護する
• ウイルス対策の標準保護: 大量メール配信型ワームによるメール送信を禁止する
• ウイルス対策の標準保護: IRC 通信を禁止する
• ウイルス対策の標準保護: tftp.exe の使用を禁止する
• ウイルス対策の最大保護: キャッシュ ファイルからのパスワードとメール アドレスの窃盗を防止する
• ウイルス対策の最大保護: svchost による Windows 実行ファイル以外の実行を防止する
• ウイルス対策の最大保護: 電話帳ファイルからのパスワードとメール アドレスの窃盗を防止する
• 共通設定の標準保護: McAfee Common Management Agent ファイルと設定の変更を防止する
• 共通設定の標準保護: FTP 通信を禁止する
• 共通設定の標準保護: HTTP 通信を禁止する
• 共通設定の最大保護: サービスとしてのプログラムの登録を防止する
• 仮想マシンの保護: VMWare Server のファイルと設定の変更を防止する
• 仮想マシンの保護: VMWare 仮想マシン ファイルの変更を防止する
• 仮想マシンの保護: VMWare Workstation のファイルと設定の変更を防止する
• 仮想マシンの保護: VMWare プロセスの終了を防止する アラート ポリシー
• Alert Manager によるアラート: 電子メール ス キャン
• Alert Manager によるアラート: 集中管理アラ ート通知を有効にする
• Alert Manager によるアラート: AutoUpdate • Alert Manager によるアラート: Alert Manager のアラートを有効にする
• Alert Manager によるアラート: アラートの通 知を無効にする
• 追加のアラート オプション: SNMP サービスを 使用して SNMP トラップを送信する
バッファー オーバーフロー対策ポリシー
• バッファー オーバーフロー対策: バッファー オーバーフローの検出時にメッセージを表示する
• バッファー オーバーフロー対策: [オーバーフロー対策の除外対象] の [モジュール]
• レポート: すべての設定 全般オプションのポリシー
• 表示オプション: すべてのメニュー オプションを 表示する
• 表示オプション: 起動画面を有効にする
• 表示オプション: 最小限のメニュー オプションと 共にシステム トレイのアイコンを表示する
• パスワード オプション: すべての設定
• 表示オプション: システム トレイ アイコンを表 示しない
• スキャンの全般設定: 再起動中のスキャン データ の保存を有効化
• 表示オプション: 他のシステムとのリモート コン ソール接続を許可
• スキャンの全般設定: Artemis バックグラウンド クエリーを有効にする
• 表示オプション: デフォルトの AutoUpdate タ スク スケジュールを無効にする
オンアクセス スキャンのデフォルトプロセス ポリシー
• スキャン項目: [デフォルトと追加のファイルの種類] の [拡張子のないファイルを含む]
オンアクセス スキャンの全般ポリシー
• 全般: フロッピー (シャットダウン時) • メッセージ: メッセージをリストから削除する
• ScriptScan: [ScriptScan の除外対象] の [プロ セス]
• メッセージ: ファイルを駆除する
• ブロック: 脅威の検出時に指定のメッセージをネ ットワーク ユーザーに送信する
• メッセージ: ファイルを削除する